Turvallisuus on kuuma aihe, ja se on ollut aikahetki. Monia vuosia sitten virukset olivat järjestelmänvalvojien ainoat huolenaiheet. Virukset olivat niin yleisiä, että se johti tietä hämmästyttävälle virustorjuntavälineille. Nykyään tuskin kukaan ajattelee suojaamattoman tietokoneen käyttämistä. Tietojen tunkeutuminen tai haitallisten käyttäjien luvaton pääsy tietoihisi on kuitenkin "uhka du reisi". Verkkoista on tullut kohde monille epätoivoisille hakkereille, jotka menevät pitkälle saadakseen pääsy tietoihisi. Paras puolustus tyyppisiä uhkia vastaan on tunkeutumisen havaitseminen tai ehkäisy. Tänään tarkistamme kymmenen parasta ilmaista tunkeutumisen havaitsemisen työkalua.
Ennen aloittamista keskustelemme ensin aiheestaerilaiset tunkeutumisen havaitsemismenetelmät, joita käytetään. Aivan kuten on monia tapoja tunkeilijoita päästä verkkoosi, on yhtä monta tapaa - ehkä jopa enemmän - tapoja havaita heidät. Sitten keskustellaan kahdesta päätyypistä tunkeutumisen havaitsemisjärjestelmästä: verkon tunkeutumisen havaitseminen ja isäntä tunkeutumisen havaitseminen. Ennen kuin jatkamme, selitämme sitten tunkeutumisen havaitsemisen ja tunkeutumisen estämisen väliset erot. Ja lopuksi annamme sinulle lyhyen katsauksen kymmenestä parhaasta löydetystä ilmaisesta tunkeutumisen havaitsemisvälineestä.
Tunkeutumisen havaitsemismenetelmät
Periaatteessa käytetään kahta erilaista menetelmäähavaita tunkeutumisyritykset. Se voi olla allekirjoitus- tai poikkeavuuspohjainen. Katsotaanpa miten ne eroavat toisistaan. Allekirjoituspohjainen tunkeutumisen havaitseminen toimii analysoimalla tietoja erityisistä malleista, jotka on liitetty tunkeutumisyrityksiin. Se on jonkin verran kuin perinteiset virustentorjuntajärjestelmät, jotka tukeutuvat virusmäärittelyihin. Nämä järjestelmät vertailevat tietoja tunkeutumiskäsittelymallien kanssa yritysten tunnistamiseksi. Niiden suurin haittapuoli on, että ne eivät toimi ennen kuin oikea allekirjoitus on ladattu ohjelmistoon, mikä tapahtuu yleensä tietyn määrän koneiden hyökkäyksen jälkeen.
Anomaliaan perustuva tunkeutumisen havaitseminen tarjoaa aparempi suoja nollapäivän hyökkäyksiltä, sellaisilta, jotka tapahtuvat ennen minkään tunkeutumisen havaitsemisohjelmiston on ollut mahdollisuus hankkia oikea allekirjoitustiedosto. Sen sijaan, että yrittäisivät tunnistaa tunnettuja tunkeutumismalleja, nämä etsivät sen sijaan poikkeavuuksia. Esimerkiksi he havaitsisivat, että joku yritti käyttää järjestelmää väärin salasanalla useita kertoja, mikä on yleinen merkki raa'asta joukkohyökkäyksestä. Kuten ehkä arvasit, jokaisella havaitsemismenetelmällä on etunsa. Siksi parhaissa työkaluissa käytetään usein molempien yhdistelmiä parhaan suojan takaamiseksi.
Kaksi tyyppiä tunkeutumisen havaitsemisjärjestelmiä
Aivan kuten on olemassa erilaisia havaitsemismenetelmiätunkeutumisen havaitsemisjärjestelmiä on myös kahta päätyyppiä. Ne eroavat pääosin sijainnista, jossa tunkeutumisen havaitseminen suoritetaan, joko isäntätasolla tai verkkotasolla. Tässäkin jokaisella on omat etunsa ja paras ratkaisu - tai turvallisin - on mahdollisesti käyttää molempia.
Isäntä tunkeutumisen havaitsemisjärjestelmät (HIDS)
Ensimmäisen tyyppinen tunkeutumisen havaitsemisjärjestelmätoimii isäntätasolla. Se voisi esimerkiksi tarkistaa erilaisia lokitiedostoja merkkejä epäilyttävistä toimista. Se voisi toimia myös tarkistamalla tärkeät kokoonpanotiedostot luvattomien muutosten varalta. Tätä anomaliapohjaiset HIDS tekisi. Toisaalta allekirjoituspohjaiset järjestelmät katsoisivat samoja loki- ja kokoonpanotiedostoja, mutta etsisivät erityisiä tunnettuja tunkeutumismalleja. Esimerkiksi tietyn tunkeutumismenetelmän voidaan tuntea toimivan lisäämällä tietty merkkijono tiettyyn konfiguraatiotiedostoon, jonka allekirjoituspohjaiset IDS havaitsisi.
Kuten olet voinut kuvitella, HIDS on asennettusuoraan laitteelle, jonka ne on tarkoitettu suojaamaan, joten joudut asentamaan ne kaikkiin tietokoneisiin. Useimmissa järjestelmissä on kuitenkin keskitetty konsoli, jossa voit hallita jokaista sovelluksen esiintymää.
Verkon tunkeutumisen havaitsemisjärjestelmät (NIDS)
Verkon tunkeutumisen havaitsemisjärjestelmät tai NIDStyöskentele verkon rajalla vahvistaaksesi havaitsemisen. He käyttävät samanlaisia menetelmiä kuin isäntä tunkeutumisen havaitsemisjärjestelmät. Tietysti loki- ja määritystiedostojen etsimisen sijaan ne näyttävät verkkoliikenteeltä, kuten yhteyspyynnöiltä. Joidenkin tunkeutumismenetelmien on tiedetty hyödyntävän haavoittuvuuksia lähettämällä tarkoituksella epämuodostuneita paketteja isäntille, saaden ne reagoimaan tietyllä tavalla. Verkon tunkeutumisen havaitsemisjärjestelmät voivat helposti havaita nämä.
Jotkut väittävät, että NIDS on parempi kuin HIDSkun he havaitsevat hyökkäykset jo ennen kuin he pääsevät tietokoneillesi. Ne ovat myös parempia, koska he eivät vaadi mitään asentamista jokaiselle tietokoneelle suojaamaan niitä tehokkaasti. Toisaalta ne tarjoavat vain vähän suojaa sisäpiirihyökkäyksiltä, jotka eivät valitettavasti ole harvinaisia. Tämä on toinen tapaus, jossa paras suoja saadaan käyttämällä kummankin tyyppisiä työkaluja.
Tunkeutumisen havaitseminen ja ehkäisy
Työkaluissa on kaksi eri tyylilajiatunkeutumissuojausmaailma: tunkeutumisen havaitsemisjärjestelmät ja tunkeutumisen estävät järjestelmät. Vaikka nämä palvelevat eri tarkoitusta, näiden kahden työkalutyypin välillä on usein jonkin verran päällekkäisyyksiä. Kuten nimensä osoittaa, tunkeutumisen havaitseminen havaitsee tunkeutumisyritykset ja epäilyttävät toimet yleensä. Kun se tapahtuu, se yleensä laukaisee jonkinlaisen hälytyksen tai ilmoituksen. Tämän jälkeen järjestelmänvalvojan on toteutettava tarvittavat toimenpiteet tämän yrityksen lopettamiseksi tai estämiseksi.
Tunkeutumisen estävät järjestelmät puolestaantyöskennellä estääkseen tunkeilun tapahtumisen kokonaan. Suurimpaan osaan tunkeutumisen estäviä järjestelmiä sisältyy havaitsemiskomponentti, joka laukaisee joitain toimia aina, kun tunkeutumisyritykset havaitaan. Mutta tunkeutumisen estäminen voi olla myös passiivinen. Ilmauksella voidaan viitata mihin tahansa vaiheisiin, jotka on toteutettu tunkeutumisen estämiseksi. Voimme ajatella esimerkiksi salasanan kovettumista.
Parhaat ilmaiset tunkeutumisen havaitsemisen työkalut
Tunkeutumisen havaitsemisjärjestelmät voivat olla kalliita,erittäin kallis. Onneksi siellä on tarjolla melko vähän ilmaisia vaihtoehtoja. olemme etsineet Internetistä parhaimpia tunkeutumisen havaitsemisohjelmistoja. Löysimme melko vähän ja olemme tekemässä lyhyen katsauksen parhaimpiin kymmeneen, joita löysimme.
1. OSSEC
OSSEC, joka tarkoittaa avoimen lähdekoodin tietoturvaa, onylivoimaisesti johtava avoimen lähdekoodin tunkeutumisen havaitsemisjärjestelmä. OSSEC omistaa Trend Micro, yksi IT-tietoturvan johtavista nimistä. Asennettuna Unix-tyyppisiin käyttöjärjestelmiin ohjelmisto keskittyy ensisijaisesti loki- ja määritystiedostoihin. Se luo tarkistussummat tärkeistä tiedostoista ja vahvistaa ne säännöllisin väliajoin varoittaen, jos tapahtuu jotain outoa. Se myös valvoo ja tarttuu kaikkiin outoihin yrityksiin päästä root-järjestelmään. Windowsissa järjestelmä myös seuraa luvattomia rekisterimuutoksia.
OSSEC on isäntä tunkeutumisen havaitsemisjärjestelmäon asennettava jokaiseen suojattavaan tietokoneeseen. Se yhdistää kuitenkin jokaisen suojatun tietokoneen tiedot yhdeksi konsoliksi hallinnan helpottamiseksi. Ohjelmisto toimii vain Unix-kaltaisissa järjestelmissä, mutta agentti on saatavana Windows-koneiden suojaamiseksi. Kun järjestelmä havaitsee jotain, konsolissa näkyy hälytys ja ilmoitukset lähetetään sähköpostitse.
2. Snort
Aivan kuten OSSEC oli suosituin avoimen lähdekoodin HIDS,Snort on johtava avoimen lähdekoodin NIDS. Snort on oikeastaan muutakin kuin tunkeutumisen havaitsemisen työkalu. Se on myös paketinhaku ja pakettien kirjaaja. Mutta mitä meitä nyt kiinnostavat, ovat Snortin tunkeutumisen havaitsemisominaisuudet. Joten kuin palomuuri, Snort määritetään sääntöjen avulla. Perussäännöt voidaan ladata Snort-verkkosivustolta ja räätälöidä tarpeitasi varten. Voit myös tilata Snort-sääntöjä varmistaaksesi, että saat aina uusimmat säännöt, kun ne kehittyvät uusien uhkien tunnistamisen yhteydessä.
Snortin perussäännöt voivat havaita monenlaisiatapahtumista, kuten varkainporttien tarkistukset, puskurin ylivuotohyökkäykset, CGI-hyökkäykset, SMB-koettimet ja käyttöjärjestelmän sormenjäljet. Se, mitä Snort-asennuksesi havaitsee, riippuu yksinomaan asentamasi säännöistä. Jotkut tarjolla olevista perussäännöistä ovat allekirjoitusperusteisia, kun taas toiset ovat poikkeavuuteen perustuvia. Snortin käyttö voi antaa sinulle molemmista maailmoista parhaan
3. Surikaatti
Suricata mainostaa itseään tunkeutumisenahavaitsemis- ja ehkäisyjärjestelmänä ja kokonaisena verkkoturvallisuuden seurantaekosysteeminä. Yksi tämän työkalun parhaista eduista Snortiin nähden on, että se toimii aina sovelluskerrokseen saakka. Tämän avulla työkalu havaitsee uhat, jotka voivat jäädä huomaamatta muissa työkaluissa jakamalla ne useille paketeille.
Mutta Suricata ei toimi vain sovelluksessakerros. Se valvoo myös alemman tason protokollia, kuten TLS, ICMP, TCP ja UDP. Työkalu ymmärtää myös protokollia, kuten HTTP, FTP tai SMB, ja pystyy havaitsemaan muuten normaaliin pyyntöihin piilotetut tunkeutumisyritykset. Siellä on myös tiedostojen poimintaominaisuus, jonka avulla järjestelmänvalvojat voivat tutkia epäilyttävät tiedostot itse.
Arkkitehtuurin kannalta Suricata on erittäin hyvin tehty jase jakaa työkuormansa useille suorittimen ytimille ja säikeille parhaan suorituskyvyn saavuttamiseksi. Se voi jopa purkaa osan prosessoinnistaan näytönohjaimeen. Tämä on loistava ominaisuus palvelimilla, koska näytönohjain käyttää enimmäkseen joutokäyntiä.
4. Bro-verkon tietoturvamonitori
Seuraava luettelossamme on tuote nimeltään BroNetwork Security Monitor, toinen ilmainen verkon tunkeutumisen havaitsemisjärjestelmä. Bro toimii kahdessa vaiheessa: liikenteen kirjaaminen ja analysointi. Kuten Suricata, Bro toimiikin sovelluskerroksessa, mikä mahdollistaa halkeamien tunkeutumisyritysten havaitsemisen paremmin. Näyttää siltä, että kaikki tulee pareittain Bro: n kanssa ja sen analyysimoduuli koostuu kahdesta osasta. Ensimmäinen on tapahtumamoottori, joka seuraa käynnistystapahtumia, kuten netto TCP-yhteydet tai HTTP-pyynnöt. Sitten tapahtumia analysoidaan edelleen käytäntökomentosarjoilla, jotka päättävät, käynnistetäänkö hälytys ja käynnistetäänkö toiminta, jolloin Bro: sta tehdään tunkeutumisen estäminen ilmaisujärjestelmän lisäksi.
Bro antaa sinun seurata HTTP: tä, DNS: tä ja FTP: tätoimintaa ja seurata SNMP-liikennettä. Tämä on hyvä asia, koska SNMP: tä käytetään usein verkonvalvontaan, mutta se ei ole suojattu protokolla. Bro antaa sinun myös katsella laitteen kokoonpanomuutoksia ja SNMP-ansoja. Bro voidaan asentaa Unix-, Linux- ja OS X -käyttöjärjestelmiin, mutta se ei ole saatavana Windowsille, ehkä sen tärkein haittapuoli.
5. Avaa WIPS NG
Open WIPS NG teki sen listallamme pääasiassa siksise on ainoa, joka kohdistuu erityisesti langattomiin verkkoihin. Open WIPS NG - jossa WIPS tarkoittaa langatonta tunkeutumisen estävää järjestelmää - on avoimen lähdekoodin työkalu, joka koostuu kolmesta pääkomponentista. Ensinnäkin on anturi, joka on tyhmä laite, joka vain vangitsee langattoman liikenteen ja lähettää sen palvelimelle analysoitavaksi. Seuraava on palvelin. Tämä yhdistää kaikkien anturien tiedot, analysoi kerätyt tiedot ja vastaa hyökkäyksiin. Se on järjestelmän ydin. Viimeisenä, mutta ei vähäisimpänä, käyttöliittymäkomponentti on käyttöliittymä, jota käytetään palvelimen hallintaan ja langattoman verkon uhkien tietojen näyttämiseen.
Kaikki eivät kuitenkaan pidä Open WIPS NG: stä. Tuote, jos samasta kehittäjästä kuin Aircrack NG tulee langaton paketinhaku ja salasanahakkuri, joka on osa jokaisen WiFi-hakkerin työkalupakkia. Toisaalta, ottaen huomioon hänen taustansa, voidaan olettaa, että kehittäjä tietää melko vähän Wi-Fi-tietoturvasta.
6. Samhain
Samhain on ilmainen isäntä tunkeutumisen havaitsemisjärjestelmäjoka tarjoaa tiedostojen eheyden tarkistamisen ja lokitiedostojen seurannan / analyysin. Lisäksi tuote suorittaa myös rootkit-tunnistuksen, porttiseurannan, epärehellisten SUID-suoritettavien tiedostojen havaitsemisen ja piilotetut prosessit. Tämä työkalu on suunniteltu valvomaan useita järjestelmiä, joissa on erilaisia käyttöjärjestelmiä keskitetyllä lokitiedolla ja ylläpidolla. Samhainia voidaan kuitenkin käyttää myös erillisenä sovelluksena yhdessä tietokoneessa. Samhain voi toimia POSIX-järjestelmissä, kuten Unix Linux tai OS X. Se voi myös toimia Windowsissa, Cygwin-järjestelmässä, vaikka vain seuranta-agentti eikä palvelin on testattu tässä kokoonpanossa.
Yksi Samhainin ainutlaatuisimmista ominaisuuksista on senvarkaustila, joka mahdollistaa sen ajamisen ilman, että mahdolliset hyökkääjät havaitsevat sitä. Liian usein tunkeilijat tappavat tunnistamansa havaitsemisprosessit, jolloin he voivat jäädä huomaamatta. Samhain piilottaa prosessit muilta steganografian avulla. Se suojaa myös keskuslokitiedostot ja kokoonpanovarmuuskopiot PGP-avaimella peukaloinnin estämiseksi.
7. Fail2Ban
Fail2Ban on mielenkiintoinen ilmainen isäntä tunkeutuminentunnistusjärjestelmä, jolla on myös joitain estäviä ominaisuuksia Tämä työkalu toimii tarkkailemalla lokitiedostoja epäilyttävien tapahtumien, kuten epäonnistuneiden kirjautumisyritysten, hyödyntämällä etsintöjen jne. Havaitsemiseksi jotain epäilyttävää, se päivittää paikalliset palomuurisäännöt automaattisesti estämään haitallisen toiminnan lähteen IP-osoitteen. Tämä on työkalun oletustoiminto, mutta kaikki muut mielivaltaiset toimenpiteet - kuten sähköposti-ilmoitusten lähettäminen - voidaan määrittää.
Järjestelmässä on useita valmiita suodattimiajoillekin yleisimmistä palveluista, kuten Apache, Courrier, SSH, FTP, Postfix ja monet muut. Ennaltaehkäisy suoritetaan muokkaamalla isännän palomuuritaulukoita. Työkalu voi toimia Netfilterin, IPtable-sovellusten tai TCP Wrapper -sovelluksen hosts.deny kanssa. Jokainen suodatin voidaan liittää yhteen tai useampaan toimintoon. Yhdessä suodattimiin ja toimiin viitataan vankilassa.
8. AIDE
AIDE on lyhenne edistyneelle tunkeutumiselleTunnistusympäristö. Ilmainen isäntä tunkeutumisen tunnistusjärjestelmä keskittyy pääasiassa rootkit-havaitsemiseen ja tiedostojen allekirjoitusten vertailuihin. Kun asennat AIDE: n ensin, se kokoaa tietokannan järjestelmänvalvojatiedoista järjestelmän määritystiedostoista. Tätä käytetään sitten lähtökohtana, jota vastaan kaikkia muutoksia voidaan verrata, ja lopulta tarvittaessa kääntää takaisin.
AIDE käyttää sekä allekirjoitus- että poikkeavuusperusteisuuttaanalyysi, jota suoritetaan pyydettäessä eikä ajoitettu tai jatkuvasti käynnissä, Tämä on itse asiassa tämän tuotteen suurin haitta. AIDE on kuitenkin komentorivityökalu, ja CRON-työ voidaan luoda sen ajamiseksi säännöllisin väliajoin. Ja jos käytät sitä hyvin usein - kuten joka minuutti, niin saat lähes reaaliaikaista tietoa. Ytimessä AIDE on vain tietojen vertailutyökalu. Ulkoiset skriptit on luotava, jotta siitä tulisi totta HIDS.
9. Turvallisuus sipuli
Turvallisuus sipuli on mielenkiintoinen peto, joka pystyysäästät paljon aikaa. Tämä ei ole vain tunkeutumisen havaitsemis- tai estämisjärjestelmä. Security Onion on täydellinen Linux-jakelu, joka keskittyy tunkeutumisen havaitsemiseen, yritysturvallisuuden seurantaan ja lokien hallintaan. Se sisältää monia työkaluja, joista joitakin olemme juuri tarkistaneet. Esimerkiksi Security Onionissa on Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner ja paljon muuta. Kaikki tämä on helppo käyttää ohjattua asennustoimintoa, jonka avulla voit suojata organisaatiosi muutamassa minuutissa. Voit ajatella Security Onionia Sveitsin armeijan veitsenä yrityksen IT-turvallisuudelle.
Mielenkiintoisin asia tässä työkalussa onettä saat kaiken yhdellä yksinkertaisella asennuksella. Ja saat sekä verkon että isännän tunkeutumisen tunnistustyökaluja. Jotkut työkalut käyttävät allekirjoitusperusteista lähestymistapaa ja jotkut ovat poikkeavuuteen perustuvia. Jakelu sisältää myös yhdistelmän tekstipohjaisia ja graafisia käyttöliittymiä. Kaikesta on todella erinomainen sekoitus. Haittapuoli on tietysti se, että saat niin paljon, että kaiken määrittäminen voi viedä hetken. Mutta sinun ei tarvitse käyttää kaikkia työkaluja. Voit valita vain ne, jotka haluat.
10. Sagan
Sagan on oikeastaan enemmän lokin analysointijärjestelmääkuin oikeassa IDS: ssä, mutta siinä on joitain IDS: n kaltaisia ominaisuuksia, joiden mielestä meidän oli syytä sisällyttää se luetteloomme. Tämä työkalu voi seurata järjestelmän paikallisia lokitiedostoja, joihin se on asennettu, mutta se voi toimia myös muiden työkalujen kanssa. Se voisi esimerkiksi analysoida Snortin lokit lisäämällä tehokkaasti joitain NIDS-toimintoja siihen, mikä on pohjimmiltaan HIDS. Ja se ei ole vain vuorovaikutuksessa Snortin kanssa. Se voi olla vuorovaikutuksessa myös Surikatan kanssa ja se on yhteensopiva useiden sääntöjen rakennustyökalujen, kuten Oinkmaster tai Pulled Pork, kanssa.
Saganilla on myös komentosarjojen suorituskykytekemällä siitä raa'an tunkeutumisen estävän järjestelmän. Tätä työkalua ei todennäköisesti käytetä ainoana suojana tunkeutumiselta, mutta se on loistava osa järjestelmää, joka voi sisältää monia työkaluja korreloimalla tapahtumia eri lähteistä.
johtopäätös
Tunkeutumisen havaitsemisjärjestelmät ovat vain yksimonia käytettävissä olevia työkaluja, jotka auttavat verkko- ja järjestelmänvalvojaa ympäristön optimaalisen toiminnan varmistamisessa. Kaikki tässä käsitellyistä työkaluista ovat erinomaisia, mutta jokaisella on hieman erilainen tarkoitus. Valitsema valinta riippuu suuresti henkilökohtaisista mieltymyksistä ja erityistarpeista.
Kommentit